Перейти к содержанию

Awolown

Пользователь
  • Публикаций

    20
  • Зарегистрирован

  • Посещение

Репутация

38 Excellent

Информация о Awolown

  • Звание
    Rank №2
  1. зайди сначала почитай что такое КУКИ и что такое navigator, а потом задавай свои уже не тупые вопросы.
  2. Вопрос такой вот созрел по теме. А почему никто не пробует внутри деда ,например, который на винде, установить вирту с минимальным образом какой нибудь никс системы и запускать майнер уже в ней? Ресурсы используются деда, но вирта отрезана от анализа ав, который на хост системе.
  3. Ищу решение по fileless malware

    Страшно , например, для авиры. У нее проактивка хавает дроп даже белых длл в темп. Так что тут надо смотреть внимательнее.
  4. Начну с того, что окно вызова powershell (резко вылезло и скрилось)ты вроде никак не скроешь, ибо триггеришь его через cmd.exe, если я правильно тебя понял. А всякие шеллкоды, типа exec/cmd являются в основе своей "оберткой" вызова system(). А саму сессию ps вполне, можно скрыть ( powershell -windowstyle hidden -ep bypass iex ...). Второй параметр - запуск скрипта с обходом execution policy, и никакие права админа не нужны для этого. Теперь по поводу инжекта shellcode и сабжа. В metasploit, например, можешь выбрать донора. (Вроде -x параметр у msfvenom). Если тебе надо исполнение powershell, то в наборе шеллкодов там есть вышеупомянутый exec/cmd. Если хочешь грузить ехе - шеллкод download_exec я б не юзал. Во-первых он тянет билд в открытом виде как исполняемый тип win, это может триггернуть ав и прочие системы защиты, во-вторых, кладет этот билд на диск. Не лучше ли извлечь байты этого ехе, обернуть их в base64 и инвокнуть в скрипте, который выполняет какой-либо process hollowing? А если ещё это дело обфусцировать? :ph34r: . Потом просто тащишь txt из твоего сервака, и инвокаешь все это дело как ps1.
  5. Крипт dll подскажите

    Саф подал хорошую мысль, у меня на основе его сформировалась своя. Что, если стаб для криптора сделать на python? Потом с pyinstaller перегнать его в ехе. Как я понимаю он в таком случае тащит виртуальную машину для исполнения байт-кода python с собой. Но с одним нюансом. Если погуглить на тему code protection в python, выдаст вариант, когда мы можем скомпилить свою версию интерпретатора python, перед этим поправив файлы opcode.c, opcode.h. Штатные средства не кушают такой код и отказываются декомпилить. Как я понимаю, сигнатуры также пропадут. Единственный минус вижу - это вес, обыкновенный хэлловорлд под полтора метра.
  6. Интересный код.

    Ты тоже сильно не радуйся, как только нормальный эмулятор сделают(а не ебаное амси), пососет и powershell. Ну слушай, тут акцент можно ставить на "как только" в твоем предложении. Это состояние не "уже сосет", понимаешь?В этом и успех..сфера такая, постоянного ничего нет, кто первый, того и тапки.. я думаю и без меня это знаешь.
  7. Интересный код.

    Да-да говнопауершелл)) Тьюринг полный? Да. Винапи инвокает? Да. .net методы доступны? Да. Рефлексия присутствует? Да. Легко убираются статик детекты? Да. Мозг себе надо ебать техниками runpe/loadpe/dopel в попытке прогрузить тело малвари, в случае если она тоже является скриптом ps? Нет. Компиляция на лету c# кода из ps скрипта , если вдруг лень переписать существующий модуль на ps? Да. Возможность выебать amsi? Да. Абсолютное говно, согласен, проверяй
  8. Fileless malware

    Скинь линк, пожалуйста, откуда форкнут, не могу найти А где можно найти актуальные модули? 1) netripper github 2) по стиллеру - в случае хрома в моем сообщении прямой намек, тебе надо сделать так, чтобы ты мог прочитать login data в любом случае, а для этого тебе надо обойти лок файла, что решается созданием временной копии. И уже с хрома сможешь тянуть пароли. Для сбора куков нужно додумать уже самому на основе того, что там есть. Посмотреть структуру файла Cookies, sql запросом вытянуть все что тебе нужно и расшифровать encrypted_value с помощью dpapi, как и пароли.
  9. Fileless malware

    я правильно понимаю что включив set obfuscate True и используя по дефолту obfuscate_command Token\All\1 вопросы с AMSI будут решены? Просто данная статья была написана 01 Mar 2017, почти полтора года назад, неужели до сих пор рабочий метод? Или там надо будет еще что-то руками допиливать? Avast, NOD32 полет нормальный. На виртах тестил. P.s тестилось ~9 месяцев назад.
  10. Fileless malware

    Империя хороша, основные модули ядра норм. Но вот модули стиллера, формграббера безнадежно устарели. Формграббер вообще форкнут из другого репо, инжектор переписан на ps, не обновлялся уже хрен знает сколько. Хотя в том месте, откуда он форкнут есть рабочие методики формграббинга из хрома х64 :ph34r: Модули стиллера тоже на коленке сделаны, из хрома тянет только пароли и то при условии, что инстанс хрома закрыт(в ином случае лочится Login Data), в модуле foxdump firefox path прописан прямым путем, про относительные не слышали наверное. Да и расчитан модуль на старые версии фф х32. Как инструмент для работы в исходном виде - ну не то...но крутые фишечки по типу сервер сайд powershell интерпретатора для никс систем для обфускации модулей с помощью Invoke-Obfuscation, использование dropbox стейджера и прочих third party прослоек, все это можно выдрать и использовать у себя в малвари для создания машины для убийств :lol:
  11. Такое есть много с чем. visual studio 6, masm, fasm - там даже простой код с exitprocess сразу идет как малварь. Это еще хз с какого года было. Новая студия так не палится (еще пока что). По теме - если грузят с лоадера, то не знаю, какие могут быть проблемы, ведь лоадеру пофиг что запускать, что твой ехе, что cmd/wsh с полезной нагрузкой. Разве что авторы лоадеров не хотят добавить такой функционал к себе, не знаю. Если со связки, то хз как. Все равно ведь нужен какой-то ехе. Ну я так понимаю, что лоадеры грузят pe с помощью loadpe/runpe, во что техники с cmd/wsh не вписываются? Только 3 варианта пока что вижу, как лодырь мог бы прогрузить это дело: 1) при доступе к шеллу 2) в том случае, если он скидывает файл на диск и запускает его предназначенным для этого ПО в системе. 3) если лодырь может выполнить произвольный шеллкод. Но проблема видимо тут в том, что таких лодырей на рынке нет и траферам ничего не остаётся , кроме как грузить ехе. Но тогда странно, говорят все вокруг про скрипт подходы в 2018, значит и грузят как то, правильно? Или у нас малвареdev и в трпферы заделались по совместительству? :D
  12. Пробовал, но только на линь. С помощью mingw. Кстати интересный факт, я мож чего то не понимаю, но он выдает уже заведомо грязный файл для ав, даже скрин где то был, даже если там хэлловорлд элементарный, а компилятором от ms - не пробовал.
  13. фудовый пш конвертированный в ехе перестает быть фуд? ни разу не встречал То есть ты хочешь сказать, что элементарный вызов system() с передачей управления на psh всегда будет чистым для ав без излишних манипуляций (пускай только чуть мусора добавлять, чтобы хэш был другим)?
  14. Мужики, техники типа вызова из system и прочее, это все понятно и умеется. И сделать из psh exe тоже не проблема. Вопрос не в этом стоял. А в том, что малварь на powershell, а нынешние траферы(исключая спамеров) в работу берут только ехе и dll. И вопрос в том чё с этим делать. И вопрос этот поставлен не потому что ехе не умеется делать, а потому что придеться предоставлять фуд PE траферам, а я к этому не готов именно в пром масштабах. Или искать траферов, у кого в лодырях есть доступ к шеллу и делают ли на рынке такие лодыри вообще. Вот в чем вопрос:)
×